ProxyShell & Co.: Microsoft gibt Tipps, um Exchange Server abzusichern
Vor dem Hintergrund mehrerer kritischer SicherheitslĂĽcken und Attacken auf Exchange Server zeigt Microsoft, welche Updates Admins dringend installieren mĂĽssen.
(Bild: heise online)
Microsoft Exchange Server sind nach wie vor sehr beliebte Ziele von Angreifern. Nun fĂĽhrt Microsoft aus, mit welchen Updates Admins Exchange Server aktualisieren mĂĽssen, um sie effektiver abzusichern.
Videos by heise
Nach einer Kompromittierung haben Angreifer Zugriff auf viele interne Firmendaten wie Adressbücher und Mails und können sich sogar oft im Active Directory weiter in Firmennetzwerken ausbreiten.
Exchange im Visier
2021 geschah das etwa im groĂźen Stil ĂĽber das Ausnutzen der ProxyShell-SicherheitslĂĽcken. Im selben Jahr warnte das Notfallteam des Bundesamts fĂĽr Sicherheit in der Informationstechnik (BSI) CERT-Bund vor Zombie-Exchange-Servern, die sich nicht mehr im Support befinden.
In der jĂĽngsten Vergangenheit sorgten zehntausende ungepatchte Exchange Server (ProxyNotShell) fĂĽr Schlagzeilen. AuĂźerdem gab es zuletzt weitere Attacken im Kontext der ProxyNotShell-SicherheitslĂĽcken.
Jetzt patchen! Wenn es den möglich ist ...
In einem Support-Beitrag teilt Microsoft jetzt das eigentlich Offensichtliche mit: Angreifer werden immer auf der Suche nach unpatchten Exchange Servern sein. Deswegen müssen Admins die Systeme stets auf dem aktuellen Stand halten. Dafür stellt Microsoft Cumulative Updates (CU) und Security Updates (SU) für verschiedene Exchange-Versionen zur Verfügung. Beide Updatestränge sind kumulativ, sodass man mit der aktuellen Version auch immer ältere Patches direkt mit installiert. Aktuell sind folgende Update-Pakete:
Nach dem Patchen sollten Admins den Microsofts Health Checker laufen lassen, um etwaigen Problemen nach einem Update auf die Spur zu kommen. Das Tool soll auch zu möglichen Lösungen führen. Außerdem sollten Admins den Exchange Emergency Mitigation Service, über den Microsoft vorab Sicherheitsregeln veröffentlicht, im Auge behalten.
Microsofts Hinweis, dass Admins Exchange Server stets auf dem aktuellen Stand halten sollen, ist richtig und wichtig, doch wie soll das funktionieren, wenn etwa die ProxyNotShell-Patches knapp zwei Monate auf sich warten lieĂźen? Bis dahin mussten Admins mehrmals angepasste Workarounds zur Absicherung umsetzen, da auch diese immer wieder Schwachstellen aufwiesen.
Weitere Absicherung
Weiterhin gibt Microsoft noch Sicherheitstipps. Admins sollten etwa die Authentifizierung durch die Aktivierung von Extended Protection härten. Zusätzlich empfiehlt es sich, die Zertifikat basierte Signierung von PowerShell-Serialisierungsnutzdaten zu aktivieren. Dieses optionale Feature hielt im Januar 2023 mit einem Update Einzug.
(des)
